Windows 10訪問SSL VPN出故障

■ 山東 欒曉鵬 孫紅春

筆者公司配置了深信服VPN 3150設(shè)備，為異地園區(qū)和出差員工提供IPSec VPN與SSL VPN服務(wù)。隨著客戶端操作系統(tǒng)的多樣化、移動化越來越嚴(yán)重，加之需要訪問的VPN資源也不僅局限于TCP服務(wù)，為此，對于SSL VPN的資源建立我們根據(jù)需要設(shè)置了TCP應(yīng)用及L3VPN應(yīng)用。

資源性質(zhì)中的TCP應(yīng)用與L3VPN應(yīng)用還是有較大區(qū)別的，TCP應(yīng)用需要在VPN客戶端IE瀏覽器上安裝一個ProxyIE控件，通過該控件實(shí)現(xiàn)TCP與SSL協(xié)議數(shù)據(jù)轉(zhuǎn)換?？蛻舳藬?shù)據(jù)提交到SSL VPN設(shè)備后，由SSL VPN設(shè)備發(fā)起對資源服務(wù)器的訪問。此方式僅支持TCP應(yīng)用。L3VPN應(yīng)用需要在VPN客戶端安裝虛擬網(wǎng)卡，這一點(diǎn)與IPSec方式類似，通過虛擬網(wǎng)卡與SSL VPN設(shè)備間建立隧道并封裝傳輸數(shù)據(jù)。此方式支持所有TCP、UDP、ICMP應(yīng)用。另外，如果資源服務(wù)器需要主動訪問VPN客戶端時，資源應(yīng)用只能選用L3VPN而不是TCP了。

圖1 登錄時的SSL VPN連接狀態(tài)

圖2 登錄數(shù)秒后的SSL VPN連接狀態(tài)

故障現(xiàn)象

異地用戶通過Windows 7、Windows 8等系統(tǒng)訪問公司SSL VPN資源正常。相同的鏈路、賬戶、網(wǎng)絡(luò)及IE設(shè)置，使用Windows 10訪問公司SSL VPN資源，可以登錄到VPN且能看到資源列表，但是無法正常使用VPN資源。

故障排查

1.檢查IE設(shè)置

Windows 10自帶IE及Edge兩款瀏覽器。檢查IE的Internet屬性→高級設(shè)置，確保“使用SSL 3.0”和“使用TLS 1.0”已勾選。

2.檢查并啟用涉及的系統(tǒng)服務(wù)

運(yùn) 行 services.msc，檢查“Routing and Remote Access”、“Device Install Service”、“Device Setup Manager”服務(wù)，確保這三項(xiàng)系統(tǒng)服務(wù)啟動運(yùn)行。

3.以管理員身份運(yùn)行IE或者VPN登錄工具easyconnect登錄VPN

提交SSL VPN賬戶與密碼，桌面右下角提示VPN已連接，但經(jīng)過仔細(xì)觀察，在登錄后的數(shù)秒后，虛擬IP地址由正常的地址池分配IP（2.0.1.8）變成了“未分配”狀態(tài)（如圖 1、圖 2）。

4.在SSL VPN登錄界面下載svpntool工具（SSL VPN控件調(diào)試修復(fù)工具）進(jìn)行控件修復(fù)，并啟動DebugView工具對登錄VPN過程進(jìn)行抓包日志分析。

圖3 登錄初期日志節(jié)選（隧道建立、服務(wù)器下發(fā)資源）

圖4 登錄過程的報錯日志

圖5 設(shè)備管理器中網(wǎng)絡(luò)適配器狀態(tài)

根據(jù)日志分析，登錄初期，客戶端與VPN設(shè)備建立了正常的隧道，并獲取了VPN服務(wù)器下發(fā)資源（如圖3）。但在后續(xù)的日志中出現(xiàn)了“獲取虛擬網(wǎng)卡信息失敗”錯誤（如圖4）。這個錯誤提示與登錄狀態(tài)未分配到虛擬IP地址現(xiàn)象相呼應(yīng)，于是解決問題的關(guān)注點(diǎn)集中在虛擬網(wǎng)卡上了。

故障解決

進(jìn)入系統(tǒng)設(shè)備管理器查看虛擬網(wǎng)卡設(shè)備狀態(tài)，網(wǎng)絡(luò)適配器設(shè)備狀態(tài)中，VPN虛擬網(wǎng)卡“Sangfor SSL VPN CS Support System VNIC”處于設(shè)備隱藏且停用狀態(tài)。找到了問題所在，啟用VPN虛擬網(wǎng)卡。重新登錄SSL VPN，驗(yàn)證功能，故障排除。

經(jīng)驗(yàn)總結(jié)

對于SSL VPN的登錄使用問題，首先應(yīng)保證IE瀏覽器及系統(tǒng)的相關(guān)服務(wù)正確配置與啟用；再根據(jù)出現(xiàn)的問題配以網(wǎng)絡(luò)分析工具加以診斷。在實(shí)際運(yùn)維工作中出現(xiàn)問題時，往往僅根據(jù)故障現(xiàn)象很難進(jìn)行準(zhǔn)確定位和排查，這時通過網(wǎng)絡(luò)抓包工具（Sniffer、Wireshark等）或?qū)ｉT的診斷日志分析工具，可以很方便地進(jìn)行故障定位，同時，對各種通訊過程、協(xié)議學(xué)習(xí)都有很大的幫助。另外，根據(jù)虛擬網(wǎng)卡在Windows 7與Windows 10系統(tǒng)的中安裝對比，Windows 10對虛擬設(shè)備雖然安裝好驅(qū)動，但需手動啟用，實(shí)際使用較為不便，不過從安全性角度考慮，這一點(diǎn)還是值得肯定的。